Buypass Access Solution inngår i Buypass Bedriftsløsning. Det er en løsning for effektiv og sikker tilgang til virksomhetens interne og eksterne tjenester som krever elektronisk ID for identifisering, signering og kryptering. Løsningen inkluderer eget administrasjonsgrensesnitt for lokal utstedelse av smartkort med elektronisk ID på ulike sikkerhetsnivå, og kan inkludere fysisk adgangskontroll i samme kort.

Løsningen støtter bruk av bedriftens egne sertifikater for tilgang til nettverk og andre lokale tjenester, samt Buypass kvalifiserte sertifikater som blant annet brukes for meldingsutveksling og tilgang til en rekke offentlige tjenester – i ett og samme kort.

Buypass Access Solution består av følgende komponenter:  

• Buypass Access Manager - Local Registration Authority (LRA). Et administrasjons-system for utstedelse og administrasjon av både lokale sertifikater fra lokal Microsoft CA og kvalifiserte sertifikater (PKI nivå4) fra Buypass CA
• Buypass Smartkort - kort med chip som kan inneholde begge typer sertifikater i tillegg til fysiske egenskaper som magnetstripe og RFID
• Buypass Access Enterprice - klientprogramvare for installasjon på den enkeltes PC eller på terminalserver. Programvaren sørger for kommunikasjon med programmer som skal ha tilgang til å benytte sertifikatene på smartkortet

Dette siden er en Systembeskrivelse og teknisk guide for Buypass Access Solution. Siden beskriver Buypass Access Manager - LRA-klienten (System) som benyttes hos virksomheten (Brukerstedet). Systemeierskap og drift tillegges bedriftens IT-drift (Systemeier / driftsansvarlig). Leverandør av systemet er Buypass AS (Leverandøren). Disse begrepene blir benyttet videre.

Buypass Access Manager

Buypass Access Manager er klientprogramvare utviklet av Buypass. Tidligere var den kun kjent som Buypass LRA (Local Registry Authority), men i 2014 fikk den navnet Buypass Access Manager som en del av Buypass Bedriftsløsning – Buypass Access Solution.

BAM-klienten er utviklet i .NET. 

BAM har følgende enheter/komponenter/grensesnitt:

• BAM-PC - egen PC/stasjonær maskin med oppdatert OS
• Periferutstyr
  • Kortlesere for Operatørkort og Brukerkort
  • PinPad hvor Bruker setter PIN på eget smartkort
  • SignaturPad hvor Bruker signerer og aksepterer vilkår for utstedelse
  • Skanner hvor Brukers legitimasjonsdokument skannes ved førstegangsutstedelse av sertifikater
• Lokal MS CA/AD
• Buypass sentrale systemer (BPS)
• Lokale filområder for PDF-filer, rapporter og fjernadministrasjon

BAM må ha følgende portåpninger:

• AD – Port 389 (LDAP)
• CA – Port 80, 443 og 135 (RPC) -  avhengig av organisasjonens infrastruktur 
• Lokalt dokument register – 135,137 og 139 (filoverføring til filområde)
• BPS – Port 443 – kommunikasjon over https. Krav til åpninger i brannmur mot https://www.buypass.no/weblts/p1

BAM-PC

Virksomheten må selv skaffe en PC / stasjonær maskin hvor BAM-klienten skal installeres. Buypass har ingen eksplisitte krav til BAM-PC, men anbefaler bruk av stasjonær maskin eller en bærbar PC med litt størrelse på skjerm og stor strømkapasitet for tilkobling av periferiutstyr.

RA-ADMIN og Operatører som skal operere BAM-klienten trenger ikke være lokal administrator.

Hardware

Standard oppsett.

Operativsystem

Buypass Access Manager støtter flere WIN-versjoner. Vi anbefaler Win10 64-bits, men kan kjøres på Win7, da fortrinnsvis 64-bits maskin. 32 bits fungerer, men anbefales ikke lenger.

Diskoppsett

Standard diskoppsett.

Konfigurasjon

Ingen avhengigheter til standard Windows konfigurering.

USB porter

Skanner, Signaturplate, Secure PIN PAD, Operatør-kortleser, mus og tastatur krever 6 ledige USB porter. Vi anbefaler bruk av en USB-hub - husk denne må ha egen strømforsyning.

Strøm

I tillegg til skjerm og PC, trenger skanneren en egen strømkilde, eventuelt også USB-hub.

Skjerm

Skjerm bør ha minimum oppløsning på 1280x1024 for best mulig utnyttelse av BAM-klienten.

Programvare og installasjon

Buypass Access Manager består av programvare for selve klienten og diverse drivere for periferutstyr.

Klientapplikasjonen er utviklet i .NET. Sørg for at siste versjon av .NET er installert. Utvikling og oppgradering av funksjonalitet i BAM vil kunne kreve nyere . NET versjoner. Når dette skjer vil det blir angitt i releasenotater - se Releaser.

Driverprogramvare for periferutstyr er beskrevet i de neste kapitlene i tilknytning til hver komponent. Lenker til Leverandørenes nettsteder er gjengitt, men vi gjør oppmerksom på at disse kan bli lagt ned eller endret uten at vi får slik informasjon og kan være helt oppdatere her.

Installasjonspakken består av et setup-program – install wizard som guider deg gjennom installasjonen. Programpakken lagres i en lokal katalog på BAM-PCs C-disk.

• Default filområde (64-bits) = c:\Program Files (x86)\Buypass\Lra Client
• Default filområde (32-bits) = c:\Program Files\Buypass\Lra Client

For detaljer om installasjon se Installation guide - ClientReadMe og om konfigurering i Configuration Application Tool - guide.

BAM-klienten vil få et ikon på skrivebordet og et i startmenyen.

Kortlesere

BAM-klienten krever minimum 1 kortleser for Operatørens ID-kort. Kortlesere som benyttes må være PC/SC kompatible, for eksempel:

• OMNIKEY CardMan 3x21
• OMNIKEY CardMan 1021
• OMNIKEY CardMan 2020
• Gemplus GemPC Card Reader CT30

Det finnes løsninger hvor kortleser er integrert i PC- eller PIN-tastaturet, og mange ønsker å bruke disse for smartkortene. NB! Vi har erfart noen problemer med ulike typer av disse, så vi anbefaler at dette testes.

Figur: Kortleser OMNIKEY CardMan 1021 koblet til BAM-PC med USB kabel.

Drivere

Ved installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Som oftest blir disse driverne lastet ned automatisk fra Microsoft, men ny software slippes jevnlig, og oppdateringer kan lastes ned fra leverandørenes egne nettsider – søk deg frem til «din» modell - f.eks:

• Omnikey: https://www.hidglobal.com/drivers
• Gemplus (nå Gemalto): http://support.gemalto.com/index.php?id=download_driver_pc-link_readers

Husk å legge inn originaldriverne til kortleserne - ellers vil standard Windowsdrivere benyttes, og disse kan være gamle!

PIN tastatur

Brukes når brukeren skal taste sin PIN, enten når PIN settes ved nyutstedelse av ID-kort, når PIN skal avblokkeres eller endres, eller ved identifisering.

PIN tastaturet som benyttes for BAM-klienten er en PIN-PAD Gemalto CT700 med display og kortleser. PIN tastaturet er PC/SC kompatibel, og kobles til BAM-PC med USB kabel som følger med.

Figur: Pintastatur (PinPad) Gemalto CT700 koblet til BAM-PC med USB kabel.

Drivere

Ved installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Ny software slippes jevnlig, og oppdateringer bør lastes fra Gemaltos supportsider.

Signaturplate

Signaturplaten brukes ved aksept av brukererklæring og avtalevilkår for sertifikater i tillegg til innhenting av brukernes signatur. Signaturplaten Topaz SignatureGemLCD 1x5 kobles til BAM-PC via USB kabel som følger med.

Signaturplater av denne typen er utstyrt med aktive elektroniske penner som har batteri. Levetiden for batteriet er estimert til å vare ca 100 000 signaturer. For å bytte batterier skru av lokket bak på pennen.  

Figur: Signaturplate (SignPad) Topaz SignatureGemLCD 1x5 koblet til BAM-PC med USB kabel.

Drivere

Ved installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Ny software slippes jevnlig, og oppdateringer bør lastes fra Topaz System Incs egne nettsider: https://www.topazsystems.com/siggemlcd1x5.html

Skanner

Skanneren brukes ved innskanning av legitimasjonsdokumenter ved utstedelse av sertifikater. Skannerne Fujitsu fi-65F er A6-dokument skannere kobles som kobles til BAM-PC med USB kabel som følger med.

Figur: Skanner Fujitsu fi-65F koblet til BAM-PC med USB kabel.

Drivere

Ved installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Ny software slippes jevnlig, og oppdateringer bør lastes fra Fujitsus egne nettsider: http://www.fujitsu.com/us/support/products/computing/peripheral/scanners/support/paperstream-ip-software/

Microsoft CA og AD

Buypass Access Manager kommuniserer med AD og lokal CA. BAM-PC må være i samme domene som AD og lokal CA og ha nødvendige port åpninger mot disse serverne.

Microsoft CA

Buypass Access Manager benytter et COM-basert grensesnitt mot Microsoft CA i forbindelse med utstedelse og sperring av lokale sertifikater. Ved kommunikasjon mot CA benytter klienten port 80,135 og 443 som må åpnes i brannmur.

Se forøvrig RSAT - Remote Server Administration Tools for Windows og TIPS - .NET-versjon på Win10.

Sertifikattemplates

• Buypass SmartCard Logon
  • Lokalt sertifikat utstedt til smartkort for pålogging
  • Lokalt sertifikat (LC) med normalt 3 år levetid
• Buypass Temporary SmartCard Logon
  • Lokalt sertifikat utstedt til smartkort for pålogging - Lånekort
  • Lokalt sertifikat (LC) med normalt 48/72 timers levetid
• Buypass SmartCard Enrollment Agent
  • Lokalt sertifikat utstedt kun til RA-ADMIN og Operatører for at de skal kunne utstede sertifikat til andre ansatte
  • Lokalt Enrollment sertifikat (EA) med normalt 3 år levetid

Ved utstedelse av sertifikater på ID-kort og lånekort sender BAM-klienten en signert sertifikatforespørsel inn til lokal CA og får en respons i retur med det nye sertifikatet. Forespørselen signeres elektronisk av Operatøren ved bruk av Operatørens Enrollment Agent sertifikat (EA).

Sjekk eksempel på konfigurering av templates under ulike Server-versjoner.

Active Directory (AD)

Buypass Access Manager henter opplysninger om brukere fra Active Directory (AD). Oppslaget skjer via port 389 LDAP (Lightweight Directory Access Protocol) og autentisering mot AD i denne protokollen - se beskrivelse av konfigurering Configuration Application Tool - guide.

Opplysninger som hentes om en bruker er:

• Brukernavn (samAccountName)
• Fullt navn – fornavn og etternavn
• Fødselsnummer/ D-nr eller kun fødselsdato - NB! kun dersom det er registrert i AD og konfigurert at det skal benyttes
• Epostadresse - dersom det er registrert i AD og konfigurert at det skal benyttes vil epost legges inn i sertifikatene
• Informasjon om hvilke sertifikatgrupper brukeren tilhører – gir informasjon om brukeren skal ha lokale sertifikater, kvalifiserte sertifikater og eventuelt EA-sertifikat
• Lokale sertifikater utstedt på brukeren (hentes fra CA)

Denne informasjonen må være tilgjengelig i AD og er en mapping mellom attributter i AD og disse informasjonselementene i klienten spesifiseres i konfigurasjonsfilene.

NOTE: Det skjer ingen oppdatering av brukerdata i AD fra BAM-klienten. Kun informasjon om utstedte og sperrede sertifikater oppdateres basert på CA-informasjon.

Sertifikatgrupper i AD

AD opererer med 4 sertifikatgrupper for BAM:

1. RA-ADMIN                      For de som har rollen RA-ADMIN og som har signert RA-Avtale
2. LRA Operator                For de som skal utstede ID-kort for ansatte
3. Kvalifiserte sertifikater For de brukerne som skal få kvalifiserte sertifikater i sitt ID-kort
4. Lokale sertifikater        For de brukerne som skal få lokale sertifikater i sitt ID-kort

• Det betyr at en ansatt som kun skal benytte kortet sitt for pålogging må være i gruppen for Lokale sertifikater
• Det betyr at en ansatt som i tillegg til pålogging skal signere med ID på nivå4 må være i gruppene for Lokale sertifikater og Kvalifiserte sertifikater
• En Operatør som skal kunne utstede og administrere ID-kort for andre ansatte må være med i gruppene for Lokale sertifikater, Kvalifiserte sertifikater og LRA Operator
• En RA-ADMIN som i tillegg til å utstede og administrere ID-kort for ansatte, også skal utstede og administrere Operatører må være med i gruppene for Lokale sertifikater, Kvalifiserte sertifikater, LRA Operator og RA-ADMIN

CRL

MS CA produserer jevnlig lister over sperrede sertifikater også kalt sperrelister eller CRLer. Sperrelistene har en varighet som settes av bedriften. Sperrelisten må publiseres på en, men gjerne flere kilder (AD, http/https, fil). Lenke(r) legges inn som informasjonselement i sertifikatene.

Alle arbeidsstasjoner, terminalservere og lignende som benyttes til pålogging må ha tilgang til sperrelisten. I de tilfeller hvor sperrelisten er utilgjengelig eller gått ut på dato vil pålogging ikke være mulig.  Det er kritisk for bedriften at en gyldig sperreliste er tilgjengelig til enhver tid. Sperrelisten bør derfor være redundant.

Buypass Sentrale Systemer (BPS)

BAM-klienten kommuniserer med Buypass’ sentrale systemer ved pålogging og i forbindelse med operasjoner med kvalifiserte sertifikater. Porten som må åpnes i brannmur mot Buypass er 443. Kommunikasjonsprotokollen går kryptert over internett. Åpningen mot internett krever at brukerstedet har en åpning i brannmur mot Buypass.

https://lts.buypass.no/weblts/p1

I tillegg til bruk av https benyttes et Buypass Brukerstedssertifikat for signering av kommunikasjonen fra BAM til Buypass webservicemottak (WebLTS). Dette må bestilles spesielt fra Buypass ved inngåelse av en Abonnementsavtale for Brukerstedssertifikat. Brukerstedssertifikatet er tilknyttet organisasjonen, slik at samme sertifikat installeres via Microsoft Management Console på hver BAM-PC.

Lokale filområder

Buypass Access Manager må settes opp med tilgang til 3 filområder som håndterer tre ulike sett med dokumenter.

1. Kontrolldokumenter (PDF)
2. Rapporter (Excel)
3. Fjernfunksjoner (sertifikatrequester og –responser)

Porter som må åpnes mot nettverkslagring er standard porter for filoverføring i Windows nettverk (135,137 og 139).

Område for kontrolldokument

BAM-klienten genererer og lagrer PDF-filer som dokumenterer de kontroller som er gjennomført ifbm operasjoner i BAM-klienten, såkalte kontrolldokumenter. Disse filene lagres og arkiveres i et dokumentregister i nettverket som mappes opp fra BAM-klienten når den starter. Operatøren bekrefter operasjonene gjennom å signere disse dokumentene elektronisk. For operasjoner som også inkluderer kvalifiserte sertifikater vil en kopi av kontrolldokumentet bli oversendt Buypass.

Alle som skal operere BAM-klienten, RA-ADMIN og Operatører må ha minimum skrive-tilgang til dokumentområdet. Utover det bør dokumentene ikke være tilgjengelig for alle i organisasjonen. Kun autorisert personell, eller de som virksomheten ønsker skal ha tilgang bør få lesetilgang til området. Det bør vurderes hvem som skal ha rettigheter til å slette/kopiere dokumentene for vedlikehold og driftsoppgaver, f.eks. personell i Sikkerhetsavdelingen.

NOTE:

• Det finnes et parameter for å skru PÅ/AV lagring av PDF'er i lokalt dokumentregister. Standard er PÅ. Se forøvrig Configuration Application Tool - guide under Master_Document Registry.

Område for rapporter

BAM-klienten kan settes opp med et filområde for rapporter som ikke er det samme filområde som PDF-dokumentene. Rapporten vist i skjermbildet kan lagres som Excel-dokument på rapportområdet.

Område for fjernfunksjoner

Om fjernfunksjoner er i bruk må det defineres et eget filområde hvor sertifikatforespørsler og sertifikatresponser skal plasseres. Dette er filer som inneholder sertifikatrequester (.req) og den offentlige delen av sertifikatene (.cer) når disse er produsert og er klare for lasting i kortene.

Filområdet må være et område som uautoriserte brukere har skrive og lese-tilgang til siden brukerne for flere av funksjonene ikke er pålogget domenet.

NB! Gjelder kun administrering av lokale sertifikater.

Aksess og tilgangsrettigheter

• LRA Operatører må være knyttet til gruppene LRA Operators, Lokale- og Kvalifiserte sertifikater
• RA-ADMIN må være knyttet til de samme gruppene som en LRA Operatør, men i tillegg til LRA-ADMIN gruppen
• Operatøren som logger på BAM-PC trenger ikke være administrator på BAM-PC
• Brukerkonto for Operatøren som logger på BAM-PC må ha nok rettigheter til å lese informasjon fra AD – ingen skrivetilgang eller andre aksesser nødvendig
• Operatørene trenger skrivetilgang til dokumentområdet
• Operatørene trenger skrivetilgang til rapportområdet
• Operatørene trenger lese- og skrivetilgang til fjernfunksjonsområde (remote functions)
• Operatørene trenger lese- og skrivetilgang til root installasjonsmappen: C:\Program Filer \ … for logging til tracefiler. Denne rettigheten settes under installasjon - NB! her kommer det endringer våren 2018, slik at Operatør kun trenger skrivetilgang

Kommunikasjon og tilgjengelighet

Basert på hvilken Mode BAM-klienten er satt opp i er klienten avhengig av å kommunisere med lokal CA/AD, lokale filområder og Buypass’ sentrale systemer (BPS) ved oppstart og underveis ved utstedelse og administrasjon av kort og sertifikater.

Figur: Oppstart av BAM-klienten når denne er konfigurert til MixedMode.

«BakcupMode»

I MixedMode skal BAM-klienten ha kommunikasjon både lokalt mot egen CA/AD og mot Buypass. Dersom forbindelsen mot Buypass av en eller annen årsak mistes vil BAM-klienten gi melding til Operatøren om dette og gi mulighet for Operatøren å fortsette med lokale operasjoner, dvs. lokal utstedelse og administrasjon av sertifikater og kort som om BAM-klienten ble satt i Local Mode.

Forbindelsen til Buypass vil bli forsøkt gjenopprettet når ny funksjon som krever kommunikasjon mot Buypass startes, men Operatøren må da starte klienten på nytt og autentisere seg mot Buypass.

Databaser

Buypass Access Manager har ikke egne databaser. BAM-klienten henter all brukerinformasjon fra lokal AD og Buypass avhengig av Mode.

• Local Mode – kun lokal AD
• Buypass Mode – kun Buypass
• Mixed Mode – fra lokal AD som sjekkes mot Buypass

NOTE: Det skjer ingen oppdatering av brukerdata i AD fra BAM-klienten. Kun informasjon om utstedte og sperrede sertifikater oppdateres basert på CA-informasjon.